Vývojár Felix Krause včera zdieľal dôkaz konceptu phishingového útoku (z angl. krádež citlivých údajov), ktorý demonštruje, ako môže vývojár aplikácií Applu napodobniť štýl Applu a jeho vyskakovacích okien, ktoré v iPhone užívateľa vyzývajú na zadanie Apple ID a hesla.
Krause vysvetľoval, že užívatelia iPhonu a iPadu sú zvyknutý na oficiálne vyskakovacie okienka, kde majú zadať Apple ID a heslo, aby mohli napríklad spraviť nákup, pristupovať na iCloud, atď. A to dokonca aj mimo App Store alebo iTunes Store. Za použitia UIAlertController, ktorý emuluje dizajn systémovej požiadavky na Apple ID a heslo, môžu vývojári vytvoriť identické užívateľské rozhranie ako nástroj na phishing, ktorý môže zmiasť mnoho iOS užívateľov.
Napriek tomu existujú aj developerské systémové oznámenia, ktoré na nejaký špecifický úkon od developera vyžadujú, aby mal k dispozícií Apple ID emailovú adresu užívateľa. Taktiež existujú aj vyskakovacie oznámenia, ktoré nevyžadujú email a vedia obnoviť heslo.
Phishingová metóda, ktorú Krause opísal nie je žiadnou novinkou. Je dobré, že Apple kontroluje každú aplikáciu, ktorej umožní prístup do App Store. Je potrebné ale vyzdvihnúť fakt, že niektorí užívatelia nevedia, že takáto možnosť phishingového útoku existuje.
Krause upozorňuje, aby boli užívatelia pozorní, chránili svoje súkromie zvýšenou opatrnosťou pri vyskakovacích oknách, ktoré vyžadujú Apple ID. Pokiaľ vyskočí okienko, ktoré bude vyžadovať prihlasovacie údaje, stlačte tlačidlo Domov. Pokiaľ okienko zmizne, je viazané k nejakej aplikácií a jedná sa pravdepodobne o phishing útok. Pokiaľ po stlačení Domov okienko nezmizne, jedná sa o systémovú požiadavku od Apple.
Krause taktiež odporúča vypínať všetky vyskakovanie okná vyžadujúce prihlásenie na ploche a zadávať údaje iba do tých, ktoré sú v aplikácií Nastavenia.
Krause už spoločnosti Apple navrhol riešenie, kde by Apple žiadal prihlasovacie údaje zákazníkov výhradne v aplikácií Nastavenia. Úroveň phishingu by sa tým rapídne znížila, nakoľko vyskakovacie okná na ploche alebo v aplikácií sa dajú ľahko napodobiť. Taktiež navrhol, aby vyskakovacie okno vyžadujúce Apple ID a heslo obsahovalo aj ikonku aplikácie, ktorej by mali byť tieto údaje zverené.
Ako extra zabezpečenie stále odporúčame zapnúť si dvojfaktorovú autentifikáciu. Útočníci, ktorí získali vaše prihlasovacie údaje a chceli by ich nejakým spôsobom riešiť, by vyšli naprázdno, nakoľko by sa po vpísaní údajov od nich vyžadoval ďalší autentifikačný kód odoslaný na iné zariadenie.
komentár
Jestli je na dvoufaktorova autentizace stejna jako na macOS, tak je to k prdu protoze se autentizacni kod objevi i na tom zarizeni kvuli kteremu byl vyzadany.